I2P, dün yayınlanan CVE-2021-44228 log4j 0-Day güvenlik açığından etkilenmiyor. I2P, log4j kullanmıyor. Ancak bağımlılıklarımızı denetleyerek özellikle jetty için log4j kullanıma bakmamız gerekiyordu. Bu inceleme sonucunda herhangi bir güvenlik açığı ile karşılaşmadık.

Tüm uygulama eklerimizin denetlenmesi de önemliydi. Uygulama ekleri, log4j ya da kendi günlük sistemlerini kurabiliyor. Çoğu uygulama ekinin de log4j kullanmadığını ve kullananların da güvenlik açığı bulunan bir log4j sürümünü kullanmadığını gördük.

Güvenlik açığı olan herhangi bir bağımlılık, uygulama eki veya uygulama bulamadık.

log4j kullanan uygulama ekleri için bir log4j.properties dosyasını jetty ile birlikte paketledik. Bu dosya yalnızca içeride log4j günlüğünü kullanan uygulama ekleri üzerinde etkilidir. log4j.properties dosyasında önerilen azaltmayı sağladık. Log4j kullanan uygulama ekleri, güvenlik açığına yol açan özellik devre dışı bırakılarak çalışır. Herhangi bir yerde log4j 2.x sürümünün kullanıldığını göremediğimizden, şu anda bir acil durum sürümü yapma planımız yok.